Identifican el 'malware' Rorschach, con gran nivel de personalización y alta velocidad en su cifrado

El Equipo de Respuesta a Incidentes de la empresa de ciberseguridad Check Point (CPIRT) ha encontrado este 'software' malicioso cuando respondía a un caso de 'ransomware' contra una empresa con sede en Estados Unidos.

En su investigación, los profesionales hallaron una cepa de 'ransomware' única capaz de desplegarse utilizando un componente firmado de Crotex XDR de Palo Alto Network. Según Check Point, este método "no se utiliza habitualmente para cargar 'ransomware', por lo que revela un nuevo enfoque adopado por los ciberdelincuentes para eludir la detección", tal y como ha explicado en una nota de prensa.

A diferencia de otros casos de 'ransomware', el autor de la amenaza no se oculta tras un alias y tampoco parece estar afiliado a ninguno de los grupos de 'ransomware' conocidos. De ese modo, su comportamiento sugiere que es parcialmente autónomo y se propaga automáticamente cuando se ejecuta en un Controlador de Dominiio (DC) mientras borra los registros de eventos de máquinas afectadas.

Por otra parte, los investigadores han asegurado que este 'malware' es «extremadamente flexible», ya que opera no solo en base a una configuración incorporada que le permite cambiar su comportamiento según las necesidades del operador.

Asimismo, han señalado que si bien parece haberse inspirado en algunas de las familias de 'ransomware' más conocidas, este también contiene funcionalidades únicas, como el uso de 'syscalls' directas, esto es, llamadas para comunicarse con el núcleo del sistema.